Shed - это приложение, которое позволяет проверять .NET-среду выполнения программы на предмет извлечения полезной информации.
Его можно использовать для проверки вредоносных приложений, чтобы получить первый общий обзор того, какая информация хранится после запуска вредоносной программы.
Проверка уже запущенного приложения
Чтобы проверить уже запущенный процесс, вы должны передать Shed pid приложения:
Проверка двоичного файла
Чтобы проверить двоичный файл, Shed должен выполнить его:
Вы также можете указать время ожидания (в миллисекундах), прежде чем приостановить процесс. Это позволит программе иметь время для инициализации своих свойств.
Полное описание и загрузка
Его можно использовать для проверки вредоносных приложений, чтобы получить первый общий обзор того, какая информация хранится после запуска вредоносной программы.
- Внедрение сборки .NET в удаленный процесс (управляемый и неуправляемый)
- Извлекать объекты, хранящиеся в управляемой потоке
- Печатать строки хранящихся в памяти
- Сохранять снимок потоков в формате JSON, для последующего анализа.
- Дампить модули загружены в память.
shed.exe --helpПроверка уже запущенного приложения
Чтобы проверить уже запущенный процесс, вы должны передать Shed pid приложения:
shed.exe --pid 2356Проверка двоичного файла
Чтобы проверить двоичный файл, Shed должен выполнить его:
hed.exe --exe malware.exeВы также можете указать время ожидания (в миллисекундах), прежде чем приостановить процесс. Это позволит программе иметь время для инициализации своих свойств.
shed.exe --timeout 2000 --exe malware.exe
Полное описание и загрузка